诊断和破解MD5攻击只需简单两步

日期:2009-1-8作者:范臻来源:IT168

MD5   Web   网站   安全证书   PKI   攻击   破解   废除   MD5证书   

  最近,来自Rapid7 的一组国际安全研究员演示了如何成功攻击网络公钥架构(Public Key Infrastructure,PKI)。PKI是利用MD5 Hash函数产生的签名对Web网站安全证书进行认证的一种基础架构。

  值得庆幸的是,该漏洞很容易被诊断出来,破解这种攻击也并不困难:

  这是什么样的攻击?

  HTTPS网站会对访问者的浏览器发送安全证书,以通过身份验证来保证安全链接。安全证书中包含了该网站的主机名称和它的公共密钥,并由认证机构CA签署并加密该安全证书。浏览器则通过自己信任的CA列表对访问网站进行安全验证,检查该CA是否值得信任,从而避免受到钓鱼攻击。

  而在这次特定的袭击中,研究员成功地建立了一个有效的中间CA证书(经过权威CA认证)。然后,他们利用它来生成任意有效的Web站点证书,使它们能够模仿HTTPS网站、监测甚至篡改这些网站。这种攻击可能会影响到使用基于MD5机制所产生的X.509证书的应用软件。黑客们正在准备通过碰撞攻击法(collision attack)来攻击MD5运算法则,然后产生假冒的认证授权中心(Certificate Authority )。

  这次攻击简要概况如下:

  1、攻击者利用MD5中的漏洞创建假冒CA。

  2、攻击者可为某个Web站点创建有效HTTPS证书。

  3、攻击者利用安全证书获得大部分浏览器的信任。

  4、攻击者可以肆意执行基于浏览器攻击并获取终端用户敏感数据。

  就实际情况而言,这意味着谁掌控了假冒CA谁就可以发动中间人式的攻击,并且获得用户的银行帐号信息。其他的攻击还包括篡改发送到安全站点的数据信息以及钓鱼攻击。

  破解攻击步骤:

  在这种情况下,最好的解决办法就是废除所有的MD5证书。简要步骤概述如下:

  保护Web应用程序:

  1、查明任何证书或者使用MD5的证书。特别是要仔细核对TLS/SSL 服务器或者客户端证书,使用Rapid NeXpose 可以扫描该漏洞。

  2、采用SHA-1或者SHA-2而不是MD5验证安全证书。

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

密码管理>更多

  • 密码终结者:FIDO身份验证标准来袭

    很多在线服务无法保护用户密码免受攻击者的攻击威胁,同时,密码作为身份验证方式存在固有弱点,这正迫使政府和IT行业构建可行的长期的替代方案……

  • 交友网站泄露事件过后:关于密码安全的大讨论

    在Friend Finder Network的4亿用户账户泄露事件后,专家开始对密码安全的方方面面进行大讨论……

  • 对企业来说,云端自行加密是可行之道吗?

    服务提供商可在需要的情况下访问加密数据。例如,当服务提供商收到执法部门访问数据的请求时,他们对访问数据并没有技术屏障,尽管数据被加密。同样地,服务提供商在技术或管理保护(密钥管理、过期或密钥访问)方面的缺陷可能会使数据处于风险之中。

  • TeamViewer攻击事件:究竟谁之过?

    过去一个月,用户的抱怨充斥着论坛,他们都在说类似的问题——即TeamViewer账户被攻破。用户指责TeamViewer攻击事件的责任在开发人员,而开发人员则称是用户的失误……

相关推荐

  • SafeNet和Internet2联手保护各大学数字身份

    SafeNet公司和Internet2®日前宣布,他们签署了一份协议,提供SafeNet智能卡和PKI硬令牌,用于PKI身份信息的数据保护存储。

  • 视频讲座:如何防止关键数据泄露

    任何事情的发生都可能导致数据的泄漏,例如有针对性的攻击,丢失的移动终端,或者是错误配置的网络安全设备。

  • 谈谈HASH算法与CSDN密码泄漏事件

    CSDN密码泄漏事件中,网友评论密码的明文保存和MD5保存问题。目前,很多站点都用MD5算法保存密码,但对于HASH(哈希)算法的认识还存在很多误区,有必要重新认识。

  • PacketShaper更新其可视性和管理

    Blue Coat系统公司日前发布其最新的软件插件,以更新其已经连接到云的PacketShaper设备,提高该设备发现、监控评估和控制来自中国和亚洲最新流行应用流量的能力。

技术手册>更多

  • 数据库安全

    随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域,但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。

  • 漏洞管理指南

    企业中的软件和系统很容易被利用。为了保障企业安全,作为安全管理员,您需要评估风险,然后应用合适的补丁和配置管理措施,以及日常的渗透测试来缓解风险。具体应该怎么做呢?本技术手册将为您介绍关于漏洞管理的相关知识,其中包括应用程序安全测试方法、漏洞评估结果的使用、渗透测试结果的分析、Windows补丁管理,以及企业安全状态评估。

  • SSL技术详解手册

    SSL是一个基于标准的加密协议,广泛应用于互联网。本技术手册将介绍SSL协议的作用和使用,包括如何配置具有SSL保护的FTP服务器,企业如何生成可信SSL证书等内容。

  • 安全加密秘籍

    无论是企业的自身需要还是安全标准的强制规定,为了更好的保护数据,加密已经成为企业的不二选择。本技术手册将详细介绍各种加密技术,帮助企业更好的保护数据。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算